ManageEngine ADSelfServicePlus

 Self-Service > Password Sync/Single Sign On > Add Application, and select the desired application. 2. Click IdP details in the top-right corner of the screen. 3. In the pop-up that appears, copy the required URLs displayed and download the certificate or metadata file as needed. 4. Complete the configuration in the selected application using the URLs, certificate, and metadata file. 5. Switch back to ADSelfService Plus.6. Enter the Application Name and Description. 7. In the Assign Policies field, select the policies for which SSO needs to be enabled. 8. Select Enable Single Sign-On. 9. Provide other information as required and click Add Application. ii. Enable multi-platform password synchronization Multi-platform password synchronization requires that the users'' AD accounts be linked with accounts from  the other applications through attributes. Account linking can either be automated or done manually. Native  password change synchronization (changes through the Ctrl+Alt+Del console and resets through the Active  Directory Users and Computers portal) works only when the password sync agent has been installed on the  domain controllers in your domain. Once that is done: 1. Navigate to Configuration > Self-Service > Password Sync/Single Sign On. 2. Select the desired application. 3. Enter the Application Name and Description. 4. In the Assign Policies field, select the policies for which password sync needs to be enabled. 5. Select Enable Password Sync. 6. Enter other information as required. Refer to the admin guide for further details. 7. Click Add Application.4. Directory self-service deployment i. Configure a self-update layout Create a layout 1. Navigate to Configuration > Self-Service > Directory Self Service > Self Update Layout. 2. Click on Create New Layout link. 3. Enter the Layout name in the text box and click Save. 4. Click on the drop-down menu and select General Attributes or Custom Attributes. 5. Choose any or all of the fields displayed below the selected attribute. 6. Click on any field on the left, then drag and drop it into the layout page on the right. 7. Instantly a Field Selection popup will appear. An administrator can work on Field Customization of the field properties. 8. Optional: Click on New Group to create new groups.Configure user modification rules These rules help administrators to specify the fields that should be automatically updated whenever a user  account is modified. These rules can be created as per the organizational policies and requirements to  automatically update the required fields. Changes made by the users using the Profile tab are used. Learn  how to enable this option. ii. Configure employee search and organization chart Employee search 1. Navigate to Configuration > Self-Service > Directory Self Service > Employee Search. 2. Select the Enable Employee Search checkbox. Select the policy to which employee search is going to be enabled. 3. Choose the domains from the Filter Domains dropdown field, which are to be involved in Employee Search. Searching can be performed at the OU or group level too.i. Click on Add OUs. ii. Select the OUs from the pop-up and click on OK. 4. You would be provided with three tabs: Users, Contacts, and Groups. 5. Enable the Users/Contacts/Groups checkboxes: i. Select the desired Display Columns. ii. You can configure the order in which the Display Columns appear by clicking on the up and down arrow buttons. iii. Configure the Search Criteria and choose the desired Search Criteria Options. You can configure the order of the search criteria options using the up and down arrow buttons. iv. Click Save to store the configured settings. Organizational chart 1. Under Employee Search, click Advanced. 2. Select Enable Organization Chart checkbox to allow employees to view the searched account''s position in the organizational hierarchy.iii. Configure email group subscription 1. Go to Configuration > Self-Service > Directory Self Service > Mail Group Subscription. 2. Click Add New to create a new email group subscription. 3. Enter the email group subscription Name and Description. 4. Select the desired domain. 5. Select Mail Groups by clicking the plus [+] icon. 6. Select Users by clicking the plus [+] icon. 7. Select Allow users to see group members option if you want to allow the users to see the members of a group. 8. Click Save.5. Supplementary features i. Windows, macOS, and Linux login agent configuration The ADSelfService Plus login agent is a software which, when installed on Windows, macOS, and Linux  domain computers, provides users with the option to reset AD passwords and unlock accounts from their  login screen. Installing the login agent also enables the Endpoint MFA feature for Windows, macOS, and  Linux logons.  The login agent can either be pushed onto the client computers using the admin portal, GPOs, SCCM,  third-party endpoint management solutions like ManageEngine Desktop Central, or be installed manually.  ii. Mobile app deployment The ADSelfService Plus mobile app lets domain users perform AD password resets and account unlocks  using their mobile device. It also lets users enroll themselves for certain MFA methods. The mobile app is  also used to receive push notifications for:  ● Notifying users upon successful completion of self-service actions. ● Impending password and account expiration. ● Enrollment reminders. With the app, the users can also authenticate themselves using one of the MFA methods like time-based  one-time-passcode, push notifications, fingerprint-based, and QR codes. The mobile app can be either  manually installed by the user or pushed onto the mobile devices by the administrator.   iii. Enterprise application integration ADSelfService Plus allows integration with external solutions like ADManager Plus, ManageEngine  ServiceDesk Plus, Splunk, Syslog Server, and Have I Been Pwned? Integrating with these solutions allows  the product to exchange data and information with these applications to achieve the capabilities  mentioned below: 1. ManageEngine ADManager Plus: It enables customizable workflows that help streamline and monitor AD tasks. With this capability, users can raise requests to access resources which can be reviewed by a  designated authority before the IT admin executes the task. When ADSelfService Plus is integrated with  ADManager Plus, admins have complete control over all the self-service actions performed by users. User actions are configured to be approved by the admin using ADManager Plus before being updated in AD.  To integrate ADSelfService Plus with ADManager Plus: i. Navigate to Admin > Product Settings > Integration Settings. ii. Click the ADManager Plus tile. iii. In the Server Name or IP field, enter the name of the server in which ADManager Plus is installed. iv. Enter the Port Number used by ADManager Plus. v. Select the Protocol (HTTP/HTTPS) enabled in ADManager Plus from the drop-down list. vi. Click Save. 2. ServiceDesk Plus: It is an IT request tracking, and asset and change management solution. When this is integrated with ADSelfService Plus, IT requests are automatically created in the solution when self-service  actions are performed by the user. This helps admins track users'' self-service actions and follow up on them  if needed. To integrate ADSelfService Plus and ServiceDesk Plus: i. Navigate to Admin > Product Settings > Integration Settings. ii. Click the ServiceDesk Plus tile. iii. In the Server Name or IP field, enter the name of the server in which ServiceDesk Plus is installed. iv. Enter the Port Number used by ServiceDesk Plus. v. Select the Protocol (HTTP/HTTPS) enabled in ServiceDesk Plus from the drop-down. vi. Enter the API Key generated in ServiceDesk Plus for a technician with login permissions. vii. Click Save.3. Splunk: It is a security information and event management (SIEM) solution that provides insight into application usage and user actions by processing large volumes of log data. It allows admins to spot  operational problems and security issues within the organization early and proceed with reporting,  diagnosing, and fixing them. Upon integrating ADSelfService Plus with the Splunk server, you can forward  ADSelfService Plus'' log data to the Splunk server for detailed auditing. To integrate ADSelfService Plus with  Splunk: Prerequisite: The first step of the integration process is to generate an HTTP event collector token using Splunk: i. Log in to Splunk as an administrator. ii. Navigate to Settings > Data Inputs > HTTP Event Collector. iii. Click New Token. iv. Specify a name for the token and retain the default values for the other fields. v. Click Save and the authentication token will be generated. Once the HTTP event collector token is generated:i. Navigate to Admin > Product Settings > Integration Settings. ii. Click the Splunk Server tile. iii. Click Enable forwarding of logs to splunk iv. Enter the details including Splunk Server Name and HTTP Event Collector Port number. v. Select True or False in the SSL Enabled drop-down. vi. Specify the HTTP Event Collector Token generated for ADSelfService Plus in the Authentication Token field. vii. Click Save. 4. Syslog server: A Syslog server is used to receive system logs or incidents from its network devices. The data received by the server is then stored and reported to software that analyzes it and puts forth  information that can help admins monitor the network''s devices and resolve any issues. ADSelfService Plus  can be integrated with any Syslog server and the product logs can be forwarded to the server for in-depth  analysis. To integrate ADSelfService Plus with a Syslog server: i. Log in to ADSelfService Plus as default Admin. ii. Navigate to Admin > Product Settings > Integration Settings. iii. Click the Syslog Server tile. iv. Click Enable forwarding of logs to Syslog v. Enter the details including Syslog Server Name, Port number, and Protocol. Choose the Syslog Standard and specify the Data Format needed for your SIEM parser.vi. Click Save. 5. Have I Been Pwned?: This website allows users to check whether the passwords they use have been compromised due to data breaches. By integrating ADSelfService Plus with the Have I Been Pwned? service,  admins can ensure that users do not use weak passwords during enterprise password resets and changes.  It is also enforced in the GINA/CP (Ctrl+Alt+Del) login page and ADUC Password resets through Password  Sync Agent. To integrate ADSelfService Plus with Have I Been Pwned?: Prerequisite : i. The firewall should have the outbound connection to api.pwnedpasswords.com Steps to integrate: i. Log in to ADSelfService Plus as default Admin. ii. Navigate to Admin > Product Settings > Integration Settings. iii. Click the Have I Been Pwned? tile. iv. Click Enable HaveIBeenPwned IntegrationConfigure security settings in ADSelfService Plus 1. Implement failover and secure gateway features: i. Reverse proxy In computer networks, a reverse proxy is a type of proxy server that retrieves resources on behalf of a  client (in this case the user) from one or more servers (in this case the ADSelfService Plus server). These  resources are then returned to the client as though they originated from the reverse proxy itself. A reverse  proxy is used as a strategic point in the network to enforce web application security. Learn how to enable  reverse proxy for ADSelfService Plus. ii. Load balancing With load balancing, the incoming requests to ADSelfService Plus are split among multiple server nodes.  To enable load balancing in ADSelfService Plus, a primary node and multiple secondary nodes have to be  configured. When requests are made to ADSelfService Plus, the primary node splits the requests among  the secondary nodes using the round-robin method. Load balancing helps alleviate performance  degradation due to heavy traffic and improves the user experience. Learn how to enable load balancing.iii. High availability High availability is configured in ADSelfService Plus to provide failover in the case of system or  application failures. High availability is achieved through automatic failover, that is, when the service  running on one server fails, another instance of the service running on another server will take over.  Setting up high availability involves configuring a primary and secondary server. When the primary server  fails to function, the instance running in the secondary server takes over. Since the data in the primary  server is cloned to the secondary server during configuration, the switchover is automatic and free of  hiccups. High availability helps the administrators and end users have continued access to ADSelfService  Plus. Click here to learn how to enable high availability. 2. Configure SSL and LDAPS i. Go to Admin > Product Settings > Connection. ii. Click the Connection Settings tab. You can choose a HTTP or HTTPS port. iii. Select the ADSelfService Plus Port [HTTP] and enter the port number of your choice. iv. If you want to configure a HTTPS port, select the ADSelfService Plus Port [HTTPS] option and enter the port number. v. If you want to apply SSL certificate, click Apply SSL Certificate (optional) and follow these steps.vi. Select the Enable LDAP SSL to secure communication between AD and ADSelfService Plus. vii. Select the Encrypt keystore password and enter the keystore password. The password you enter will be encrypted for better security. Note: The value of the keystorePass property in the server.xml file will be replaced with the macro  ${adssp.keystorePass}. viii. Select the TLS Versions and the Cipher Suites from the drop-down. ix. Click Save. 3. Allow or restrict admin portal access based on IP addresses i. Go to Admin > Customize > Logon Settings ii. Select Allow/Restrict Application access based on IP Addresses iii. Click Configure Now. iv. Select Allowed IP Addresses or Restrict IP Addresses. v. Enter the appropriate IP address range in the available fields. vi. Restrict or allow specific IPs by selecting Add Individual IPs. vii. Click Save.4. Set the session expiration time i. Navigate to Admin > Product Settings> Connections > General Settings. ii. Select a Session Expiration Time limit from the drop-down. iii. Click Save Settings. 5. Manage product licenses Administrators can free unused ADSelfService Plus licenses by using the Restrict Users feature in  ADSelfService Plus. When configured, this feature not only frees the licenses assigned to the selected  user accounts but also restricts them from accessing ADSelfService Plus in the future. Here are the types  of stale user accounts that can be restricted using the Restrict Users feature: 1. Account Expired - Accounts that are expired in AD. 2. Account Disabled - Accounts that are disabled by the administrator. 3. Inactive users - Accounts that have not logged in to the domain for a specific period. 4. Deleted users - Accounts that were deleted from AD. 5. Service Accounts - AD service accounts. 6. Smart Card Users - User accounts that use a smart card for authenticating their workstations. Steps to configure the Restrict Users option:  i. Navigate to Admin > License Management > Restrict Users. ii. Click Restrict Users from the right corner of the page. iii. Select the required Domain. iv. Select the desired OUs (if you want to restrict users from a particular OU).v. From the Account Type drop-down menu select the type of users you want to restrict. vi. Click Generate. A list of users of the selected type will be generated. vii. Select the users you want to restrict. You can select all the users at once or a particular user. viii. Click Restrict. Once restricted, the user will not be able to log in or perform any actions using ADSelfService Plus. The  enrollment data of the user will be deleted too. 6. Configure CAPTCHA: i. Go to Admin → Customize → Logon Settings. ii. Select Show CAPTCHA (Word Verification Image) on Login Page.iii. Enable CAPTCHA for the login pages of admin, domain user, and during password reset and account unlock. iv. Click the Captcha Settings link to configure whether to show CAPTCHA every time or only after a certain number of invalid login attempts. ■ Select Show CAPTCHA after invalid login attempts to enable captcha only after a certain number of invalid login attempts. Enter the number of invalid login attempts allowed and the time (in minutes) that must pass before the invalid login count is reset. ■ Select Always show CAPTCHA to display CAPTCHA every time someone tries to log in to the product. v. Select Enable Audio CAPTCHA to offer CAPTCHA for visually impaired users. vi. Click Save. Other important settings 1. Configure the dashboard updater You can set up schedules to automatically update the Dashboard in the ADSelfService Plus admin portal.  You can also synchronize ADSelfService Plus with your organization''s AD. The feature offers schedulers for  the following: ● AD Synchronizer. ● Locked Out Users. ● Soon-To-Expire User Passwords. ● Password Expired users. To configure the dashboard updater: i. Go to Admin > Product Settings > Dashboard Updater. ii. Click the edit icon next to the desired scheduler. iii. Use Select Duration to schedule automatic updates at a set frequency. ○ Daily: The scheduler is run once every day.○ Hourly: The scheduler is run once every hour. ○ Weekly: The scheduler is run once every week. ○ Monthly: The scheduler is run once every month. iv. Click Save. 2. Configure email and SMS servers for notifications To enable email and SMS notifications for email, or SMS-based verification codes, password expiration  notifications, and other product notifications, email and SMS servers need to be configured in ADSelfService  Plus. Learn how to configure email and SMS servers. 3. Enable auto-backup of the database To enable auto-backup of the product database: i. Go to Admin > Product Settings > Dashboard Updater. ii. Set up a backup scheduler. iii. Enter the Backup Storage Path. iv. Click Save Settings. Note: To save a backup immediately, click Backup Now.4. Configure technicians for product administration Technicians are users with elevated rights in the product. ADSelfService Plus Technicians consist of  these roles and permission levels that allow customizable options: ● Super Admin: Up to full control over the entire application by default. ● Operator: Can audit the various operations taking place in the application. How to assign permissions to Technician roles i. Go to Configuration > Administrative Tools > Technician. ii. Select Role Settings. iii. Select the required role from the drop-down. iv. You can now choose to assign or remove the displayed permissions. How to create a Techniciani. Go to Configuration > Administrative Tools > Technician. ii. Click the Add new Technician button. iii. Select the Authentication Type, Domain, Users/Groups, and the Role from the respective drop-downs. Important: When AD Authentication is selected, the created Technician can use their Windows logon  credentials to log in to ADSelfService Plus.  iv. If you select Product Authentication in the Authentication Type field, you will be required to enter the login credentials of that Technician. v. Click Add. 5. Rebrand and personalize the portal Using the rebranding settings, the product''s theme color, logo, browser title and image, and the login  screen''s background image can be modified. The buttons displayed on the login screen can also be  customized.i. Navigate to Admin > Customize > Personalize > Portal Rebranding. ii. Under General Customization, use the Choose Theme Color field to select the desired theme color. iii. Click Browse next to the Change Logo field and choose a logo of your choice. The image should be 200x50 pixels in dimensions. iv. Enter the desired Browser Title. v. Click Browse next to the Browser Title Image field to select a title image for your choice. vi. Under Logon Customization, use the Customize Logon Buttons to change the other order of and the text displayed in the Sign in, Reset Password, and Account Unlock buttons. vii. Select Choose next to the Login Screen Background Image to select the desired image. viii. Click Save. About ADSelfService Plus ManageEngine ADSelfService Plus is an integrated self-service password management and single sign-on solution. It offers self-service password reset and account unlock, endpoint multi-factor authentication for machines and VPN logins, single sign-on to enterprise applications, Active Directory-based multi-platform password synchronization, password expiration notification, and password policy enforcer. It also provides Android and iOS mobile apps that facilitate self-service for end users anywhere, at any time. ADSelfService Plus helps reduce IT expenses associated with help desk calls, improves the security of user accounts, and spares end users the frustration due to computer downtime. For more information about ADSelfService Plus, visit: www.manageengine.com/products/self-service-password/">